O Active Directory i nie tylko

Synchronizacja czasu w domenie - jak ustawić i dlaczego to takie ważne?

W Active Directory synchronizacja czasu ma ogromne znaczenie, choćby ze względu na czas ważności biletu Kerberos wykorzystywanego do uwierzytelnienia. Z tego względu czas na wszystkich komputerach i serwera w domenie powinien być jednakowy aby uniknąć różnych problemów z logowaniem lub uruchamianiem programów korzystających z sieci.

Jak ustawić synchronizacje czasu?

 

 1. W Active Directory używamy Usługą Czasu Systemu Windows do synchronizacji zegara: W32Time
 2. Wszystkie maszyny członkowskie synchronizują się z dowolnego kontrolera domeny,
 3. W domenie, wszystkie kontrolery domeny synchronizują się  z PDC Emulator (Primary Domain Controlerr) z tej domeny: używając NT5DS
 4. Podstawowy kontroler domeny (PDC) powinien synchronizować z dowolnym kontrolerem domeny nadrzędnej: za pomocą protokołu NTP,(o ile mamy jakąś domenę nadrzędną w innym przypadku pkt 5)
 5. Emulator Podstawowego Kontrolera Domeny (PDC) domeny głównej w lesie należy zsynchronizować z zewnętrznym serwerem czasu (może być to urządzenie zegar, router, inny serwer autonomiczny, internetowym serwerem czasu ...

Synchronizacja czasu w Active Directory

Ale w jaki sposób skonfigurować czas w moim Active Directory?

Cóż, to proste! Normalnie powinno być ustawione prawidłowo, o ile nie zmodyfikowaliśmy tego wcześniej.

W przeciwnym razie możemy zrobić zapewnić pewne narzędzia, które: w32tm.exe narzędzia wiersza polecenia i GPO

 • Korzystanie w32tm.exe
  • Uruchom następujące polecenie na emulatorze PDC:  

   w32tm / config / manualpeerlist: serwer czasu /syncfromflags:manual /reliable:yes /update

   (gdzie serwer czasu jest -oddzielone spacją lista serwerów czasu.)

   Gdy to zrobisz, uruchom ponownie usługę W32Time.

  • Uruchom następujące polecenie na wszystkich pozostałych DC (które nie są PDC):  

   w32tm /config /syncfromflags:domhier /update

   Gdy to zrobisz, uruchom ponownie usługę W32Time.

 

 • Tworzenie globalnych ustawień GPO w celu wymuszenia synchronizacji czasu 
  • Utwórz GPO i połączyć go z jednostką organizacyjną Kontrolery domeny,
  • Edytuj ustawienia : Konfiguracja komputera \ Szablony administracyjne \ System \ Windows \ czas, to globalne ustawienia konfiguracyjne
  • W zależności od zastosowania, można pozostawić wartości domyślne.
 • Kontrola
  • Można również sprawdzić, czy czas jest należycie ustawiany na PDC poprzez uruchomienie tego poleceniaw32tm.exe /resync /rediscover /no_wait, a następnie sprawdzić identyfikatory zdarzenia ID: 139
  • Aby sprawdzić serwer  źródła czasu: w32tm /query /status